Die Schweiz hat ihre erste unabhängige Bug-Bounty-Firma

18. August 2020, 13:34
image

Die Leiter der Bug-Bounty-Programme der Post und der Swisscom gründen eine Firma, um dem Ansatz hierzulande zum Durchbruch zu verhelfen.

Bug-Bounty-Programme werden global immer wichtiger für die Sicherstellung der IT-Sicherheit. In der Schweiz ist der Ansatz derweil noch nicht besonders verbreitet: Vorreiter sind die Post und die Swisscom, die bereits interne Programme lanciert haben. Nun schliessen sich die Zuständigen bei den beiden Konzernen zusammen und lancieren Bug Bounty Switzerland.
Die bereits im April 2020 formell gegründete Firma hat es sich zum Ziel gesetzt, hierzulande Bug-Bounty-Programme zu etablieren. CEO des neuen Unternehmens ist Sandro Nafzger, der bei der Post als externer Spezialist das Bug-Bounty-Programm leitet. In einem kurzen Telefongespräch mit inside-it.ch erklärt er, dass man hierzulande noch viel Aufklärungsarbeit leisten müsse. "Der Ansatz ist in der Schweiz noch nicht richtig angekommen, aber längerfristig führt kein Weg daran vorbei", so der Wirtschaftsinformatiker.
Viele Firmen glaubten, dass sie genügend für die IT-Sicherheit unternehmen würden, das könne aber verhängnisvoll sein. Man sei damals, als man bei der Post das Programm aufgebaut habe, auch nicht sicher gewesen, ob es der richtige Weg sei, erklärt Nafzger. Dies habe sich nach der ersten Phase aber schlagartig geändert: Schliesslich wurden bereits 50 kritische Schwachstellen aufgedeckt. Bei der Swisscom wurden im Rahmen des Bug-Bounty-Programms insgesamt 400 Schwachstellen entdeckt. Der Zuständige für das Programm, Florian Badertscher, unterstützt nun Nafzger als CTO von Bug Bounty Switzerland.
Das neue Unternehmen ist eine private Initiative und wurde unabhängig von der Post und der Swisscom gegründet. CEO und CTO bleiben aber in ihren jeweiligen Funktionen auch bei den beiden Konzernen. Komplettiert wird das Management von Bug Bounty Switzerland von COO Matthias Jauslin sowie Lukas Heppler (Head of Customer Success) und Alessandro Casablanca (Head of Marketing).
Das Angebot der neuen Firma ist abgestuft: Kundenfirmen können etwa in einem "Reality-Check" von ethischen Hackern ihre Systeme unter die Lupe nehmen lassen. In einem "Proof of Concept" können Kunden zusammen mit Bug Bounty Switzerland ein dreimonatiges Programm entwickeln, das die Ergebnisse des Ansatzes deutlich machen soll. In der letzten Stufe schliesslich sieht die Firma ein voll ausgebautes Programm vor, das Kunden mit einer Jahreslizenz erwerben können.
Im Gegensatz zu herkömmlichen Penetration-Tests mit einer begrenzten Anzahl Security-Experten sind Bug-Bounty-Programme offen für unzählige internationale ethische Hacker. Dafür wird in der Schweiz keine eigene Plattform aufgebaut, sondern auf eine Partnerschaft mit dem Anbieter Yeswehack gesetzt.
Der Return on Investment falle um ein Vielfaches höher aus als bei herkömmlichen Pentests, auch weil man nur für gefundene Lücken bezahlen müsse, wirbt Bug Bounty Switzerland. Das genaue Pricing will man seitens der Firma noch nicht nennen, aber mit dem Reality-Check biete man einen preisgünstigen Einstieg, so Nafzger.
Das Unternehmen ist erst gerade an die Öffentlichkeit gegangen, entsprechend kann es noch keine Kunden nennen. Das Interesse sei aber riesig, erklärt der CEO, man sei mit vielen Firmen im Gespräch. Bei diesen gelte es nun weiterhin Awareness zu schaffen.

Loading

Mehr zum Thema

image

Zurich Film Festival – Ticketverkauf dank flexibler Standortvernetzung.

Heute ist das Zurich Film Festival (ZFF) das grösste Herbstfilm-Festival im deutschsprachigen Raum und ein Sprungbrett zu den Oscars. 2005 fand es zum ersten Mal statt.

image

Das OIZ der Stadt Zürich hat seine SAP-Dienstleister bestimmt

Für 22 Millionen Franken hat sich der Stadtzürcher IT-Dienstleister SAP-Unterstützung in 4 Bereichen gesichert.

publiziert am 23.9.2022
image

TAP Portugal bestätigt den Klau von Passagierdaten

Nach dem Cyberangriff sind 600 Gigabyte an Daten der Airline veröffentlicht worden – auch von Schweizer Passagieren. Kunden werden vor möglichen Phishing-Angriffen gewarnt.

publiziert am 23.9.2022
image

100 Millionen Dollar für zwei Schweizer Krypto-Startups

Zwei Firmen mit offiziellem Sitz in Zug konnten je 50 Millionen sammeln. Eine verspricht "grüne" Blockchain-Infrastruktur, die andere umfassende Möglichkeiten für Krypto-Investments.

publiziert am 23.9.2022